Le démantèlement du malware Emotet par EUROPOL

Une infinité de programmes malveillants ne cesse de se développer et se propage sans arrêt sur Internet. Heureusement, il existe des logiciels antivirus qui essaient de se mettre à jour en permanence, afin d’identifier ces derniers et de préserver la sécurité de nos appareils connectés. Le 27 janvier 2021, grâce à l’enquête coordonnée d’EUROPOL, le fameux malware connu sous le nom d’Emotet, considéré comme l’une des pires menaces informatiques de ces dernières années, a pu être entièrement démantelé.

Qu’est-ce qu’Europol ?

Les États-Membres de l’Union Européenne ont créé l’initiative EUROPOL (European Police Office) à l’aide d’une Convention parue en 1995. Depuis la signature du Traité de Lisbonne par l’ensemble des pays de l’Union Européenne, l’office européen de police possède désormais une certaine autonomie non négligeable qui lui permet d’organiser ses propres opérations dans la lutte de « la répression de la criminalité sous toute forme ». Ses missions consistent à faciliter la coordination des polices nationales contre « l’ensemble de la criminalité organisée transnationale » (plus de 25 types d’infractions), dont la protection des individus contre la cybercriminalité. Le principe fondateur de cette agence repose sur la coopération, qui permet un meilleur accès aux renseignements et accroît la sécurité des citoyens sur l’ensemble du territoire européen.  

Qu’est-ce qu’Emotet ?

Suite à une enquête ouverte de l’Agence Nationale de la Sécurité des Systèmes d‘Information, le malware bancaire appelé « Emotet », s’est illustré comme étant extrêmement dangereux et viral. Ce Cheval de Troie, identifié pour la première fois en 2014, s’immisce de manière sournoise au sein d’un ordinateur afin de voler les informations sensibles et privées qu’il peut contenir, telles que les coordonnées bancaires. Emotet utilise des principes similaires au hameçonnage qui ont pour but d’usurper l’identité des utilisateurs. Ce virus se propage suite à l’ouverture de lien malveillant pouvant être contenu dans des e-mails de spam, et infecte par la suite tous les appareils étant connectés au réseau local ou professionnel touché. Par exemple, de nombreux courriers électroniques évoquant « un avis de paiement » ou « des factures en retard », voire même des propositions de « mise à jour Windows » ont permis la propagation du malware.

« Emotet est polymorphe, ce qui signifie qu’il peut changer sa représentation à chaque téléchargement, échappant ainsi aux détections basées sur les signatures »

En effet, sa spécificité consistait à infiltrer un terminal sans même que celui-ci remarque sa présence malgré la présence d’antivirus. De plus, ce dernier servait de relais pour permettre à d’autres groupes de cybercriminels d’engendrer l’installation d’autres malwares supplémentaires. Par exemple « Trickbot » (botnet similaire à Emotet réapparu moins d’un mois après son « démantèlement » ), qui avait la particularité d’exploiter les mêmes vulnérabilités que le rançongiciel « WannaCry », ou encore « Quackbot » doté de la capacité de ver de réseau. Par conséquent, une véritable famille de Chevaux de Troie bancaires s’est mise à circuler sur les terminaux infectés permettant aux cybercriminels de multiplier leurs vols de données sensibles.

Une pluralité d’attaques de masse importante

De cette manière, Emotet s’est introduit dans de nombreux pôles professionnels dont plusieurs institutions et organisations européennes ainsi qu’américaines. À titre d’exemple, la ville d’Allentown située en Pennsylvanie a subi un vol de données massives qui lui a coûté plus d’un million de dollars d’investissement afin de remédier à l’infection. En Europe, l’Allemagne a été lourdement victime de ce programme malveillant qui est venu contaminer de nombreuses institutions du pays dont la maison d’édition renommée « Heise Online », la « Kammergericht Berlin » (Chambre d’appel de Berlin) traitant d’affaires pénales et civiles, ou encore l’Université Humboldt de Berlin. L’attaque la plus médiatisée concerne la ville de Francfort, pôle économique mondial, qui a dû arrêter l’ensemble de son réseau informatique jusqu’à l’élimination totale de la menace. 

L’élimination du virus 

Ainsi, grâce à la coopération de huit pays dont la France, les États-Unis, le Royaume-Uni, l’Allemagne, les Pays-Bas, la Lituanie, le Canada et l’Ukraine, l’infrastructure malveillante a pu être détruite de l’intérieur. Pour cela, la police néerlandaise a réussi à trouver une base de données regroupant l’ensemble des données volées par le programme malveillant, suite à la saisie de matériel informatique présent sur leur territoire (17 serveurs détournés). De cette façon, toutes les adresses mails retrouvées sur cette base de données, ont été redirigées vers les serveurs désormais contrôlés par les autorités. L’identification des individus ayant permis le « bon fonctionnement de l’infrastructure et la propagation du logiciel malveillant » reste une priorité afin d’assurer la disparition du virus.

Cependant, des centaines de milliers de postes ont déjà été infectés à travers le monde, et nombreux sont ceux qui ont été victimes d’installation d’autres virus, contrôlés par différents groupes de cybercriminels. De ce fait, leurs terminaux restent vulnérables à d’autres potentielles attaques extérieures, s’ils n’effectuent pas un nettoyage complet de leurs ordinateurs après la réception du mail confirmant une contamination passée du malware. 

Face à l’arrêt inattendu d’Emotet, les responsables de ses activités néfastes voient effectivement leurs actions malveillantes perturbées, or il ne faut pas oublier que la neutralisation d’un problème sur internet revient souvent à en engendrer un nouveau potentiellement plus dangereux… 

Abdelmalik ZERGUI

Master 2 Cyberjustice – Promotion 2020/2021

Sources :

https://heimdalsecurity.com/blog/emotet-malware-history/

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-019/

https://fr.malwarebytes.com/emotet/

https://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/malware-logiciel-malveillant/actualite-351286-emotet-le-malware-le-plus-dangereux-au-monde-demantele-par-europol.html

https://www.touteleurope.eu/actualite/qu-est-ce-qu-europol-l-office-europeen-de-police.html

https://cyberguerre.numerama.com/9932-la-police-abat-emotet-le-logiciel-malveillant-le-plus-dangereux-du-monde.html https://www.zdnet.fr/actualites/le-botnet-emotet-demantele-par-europol-39916971.htm

Laisser un commentaire